Quando marcar a caixa “Este aplicativo usa criptografia”?

StackOverflow https://stackoverflow.com//questions/9609901

Pergunta

Ao enviar ou atualizar um aplicativo, uma dúvida que você enfrenta é:

Você adicionou ou fez alterações nos recursos de criptografia desde a última vez que enviou um binário para este produto?

Imagem: enter image description here

Minha pergunta é, se eu usar a criptografia que você obtém do <CommonCrypto/CommonCryptor.h> biblioteca, preciso marcar SIM para esse Q?

Tenho um arquivo que gostaria de criptografar, enviar para o iphone e descriptografar no iphone usando CommonCrypto.Recebi respostas mistas ao conversar com colegas de trabalho.Alguns acreditam que, por se tratar de uma estrutura incluída, é um jogo justo, outros dizem que é necessário obter a aprovação do governo.

Parece que o CommonCrypto suporta (na melhor das hipóteses) criptografia AES de 128 bits com um modo de criptografia do ECB.Então, era isso que eu estava planejando usar.

Nota:Estou pensando em usar o NSData+CommonCrypto categoria de AlanQuatermain/aqtoolkit no github.Este é apenas um wrapper do CommonCrypto e nada mais.

Relacionado é, você precisa marcar SIM se usar HTTPS (SSL)?Ver Conformidade de exportação de criptografia do iPhone para aplicativos que fazem conexões HTTPS (TLS) - Continuação.Não preciso de conexões https, ainda assim isso me surpreende...

Foi útil?

Solução

Acredito que encontrei a resposta que procurava.

Isenção de responsabilidade - NÃO sou advogado (como vocês) e não serei responsabilizado por esta resposta, mas acho que minhas descobertas podem/irão beneficiar a comunidade.

Meu aplicativo se qualifica como item do mercado de massa?

Resposta curta - acredito que todos os aplicativos da Apple seriam considerados itens do mercado de massa, mas é difícil ter certeza.No entanto, parece que mesmo itens que não são do mercado de massa podem usar um algoritmo de chave simétrica com uma chave de 56 bits ou menos (como você lerá mais abaixo).Observação DES é um algoritmo de chave simétrica que usa uma chave de 56 bits.

Nota de Criptografia (Nota 3) da Categoria 5, Parte 2 (“Segurança da Informação”), da Lista de Controle de Comércio

Nota 3: Nota sobre criptografia:ECCNS 5A002 e 5D002 não controlam itens que atendam a todos os seguintes:

a. Geralmente disponível ao público, sendo vendido, sem restrição, a partir de ações em pontos de venda de varejo por meio de qualquer um dos seguintes:

  1. Transações de balcão;
  2. Transações por correspondência;
  3. Transações eletrônicas;ou
  4. Transações de chamadas telefônicas;

b. A funcionalidade criptográfica não pode ser facilmente alterada pelo usuário;

c. Projetado para instalação do usuário sem suporte adicional substancial pelo fornecedor;e

d. Quando necessário, os detalhes dos itens são acessíveis e serão fornecidos, mediante solicitação, à autoridade apropriada no país do exportador, a fim de verificar a conformidade com as condições descritas nos parágrafos (a) a (c) desta nota

OK...Então, se for um item do mercado de massa, quais são as limitações?

Você deve enviar uma solicitação de classificação ao governo se (ver negrito):

N. B.à Nota 3 (Nota de criptografia): Você deve enviar uma solicitação de classificação ou registro de criptografia ao BIS para mercadorias e software de criptografia de mercado de massa elegíveis para a nota de criptografia empregando um Comprimento da chave superior a 64 bits para o algoritmo simétrico (ou, Para mercadorias e software que não implementam nenhum algoritmos simétricos, empregando um comprimento chave maior que 768 bits para algoritmos assimétricos ou maiores que 128 bits para algoritmos da curva elípticos) de acordo com os requisitos do § 742.15 (b) da orelha para serem liberados dos controles "EI" e "NS" do ECCN 5A002 ou 5D002.

Então, com base nisso, o que POSSO e NÃO POSSO usar?

Isenção de responsabilidade :: Esta é a minha interpretação do que foi dito acima - novamente, não sou advogado

  • AES 128 não pode ser usado sem enviar uma solicitação, pois usa uma chave de 128 bits.
  • DES pode ser usado já que usa uma chave de 56 bits.Na verdade, o DES pode ser usado mesmo sem ser classificado como item do mercado de massa.
  • ELENCO pode ser usado pois usa uma chave entre 40 e 128 bits (você teria que usar uma chave de 64 bits ou menos).
  • 3DES não pode ser usado.A chave de cifra original do 3DES é de 64 bits, mas pelo que entendi tem 3 chaves...Portanto, não tenho certeza se isso foi aprovado e você provavelmente terá que enviar uma solicitação.A Wikipedia diz que é "designado pelo NIST para ter apenas 80 bits de segurança", o que me faz pensar que não pode ser usado.
  • RC4 Eu acredito você pode usar isso sem enviar uma solicitação contanto que a chave de tamanho variável seja de 64 bits ou menos.

VOCÊ.S.Bureau of Industry and Security - Encryption - Posso autoclassificar meu item de criptografia e exportá-lo SEM registro de criptografia?

Isenção de responsabilidade :: Não sou advogado, esta é a minha interpretação.Eu não serei responsável.

Você pode usar um algoritmo de chave simétrica (como DES) com uma chave de 56 bits (ou menos).

Além disso, os Produtos do Mercado de Massa podem usar algoritmos de chave simétrica com uma chave de 64 bits (ou menos).

Seções importantes em negrito.

Fluxograma 2 Fornece uma visão geral de como determinar se o seu produto pode ser auto-classificado e exportado sem um registro de criptografia.

Se você possui um produto controlado na categoria 5, parte 2, certos produtos e transações não exigem nenhum registro de criptografia, classificação ou relatórios pós-exportação.Isso inclui:

  • Produtos classificados em 5x992, incluindo:
    • Produtos com comprimentos -chave que não excedem 56 bits simétricos, 512 bits curva elípticos assimétricos e/ou de 112 bits.
    • Produtos de mercado de massa com comprimentos -chave não superiores a 64 bits simétricos, ou se não houver algoritmos simétricos, não excedendo 768 bits, curva elíptica assimétrica e/ou 128 bits.
    • Certos produtos do mercado de massa listados em 742.15 (b) (4)
    • Produtos com funcionalidade criptográfica limitada, conforme descrito na nota para 5A002.
    • Produtos que usam criptografia apenas para autenticação.
  • Certos produtos/transações 5x002, incluindo:
    • Certos produtos/transações são elegíveis para a exceção de licença, sem registro, classificação ou relatório, incluindo:
      • Exportações e reexportos para 'usuários finais do setor privado', conforme descrito em 740.17 (a) (1);
      • Exportações e reexportações para um “EUA”.Subisidário ”conforme descrito em 740.17 (a) (2).
      • Certos produtos listados em 740.17(b)(4):
    • Certos produtos que requerem apenas uma notificação antes da exportação:
      • Software de criptografia “disponível ao público” e código -fonte sob exceção de licença TSU (740.13);
      • Software de teste beta sob exceção de licença TMP (740.9).

Além disso, se você estiver confiando na auto-classificação do produtor (de acordo com o registro de criptografia do produtor) ou CCATs para um item de criptografia elegível para exportação ou reexportação sob exceção de licença ou mercado de massa, não é necessário enviar um registro de encerridade, Solicitação de classificação ou relatório de auto-classificação.Você ainda é obrigado a cumprir os requisitos de relatórios de vendas semestrais nos termos do parágrafo 740.17 (e).

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top